Les informations d'identification AWS de SEGA Europe étaient accessibles au public jusqu'à récemment, permettant aux attaquants de diffuser des logiciels malveillants via les sites Web de jeux de l'entreprise, entre autres. Les vulnérabilités ont été corrigées.
Les chercheurs de SEGA Europe ont réussi à accéder, entre autres, à la clé de développeur Steam, aux mots de passe de la base de données et du forum et à la clé API de MailChimp. En particulier, l'accès public aux informations d'identification pour Amazon Web Services aurait pu avoir un impact important, selon un chercheur en sécurité.
Ces informations d'identification fournissaient un accès en lecture et en écriture aux compartiments AWS S3 de SEGA Europe. Il était possible de télécharger des logiciels malveillants et de modifier le contenu de neuf des domaines publics de l'entreprise. Downloads.sega.com, cdn.sega.com et bayonetta.com, entre autres, étaient des vulnérabilités critiques.
Avec les informations d'identification AWS obtenues, les chercheurs ont pu scan L'environnement de stockage en ligne de SEGA pour un accès ultérieur. Les chercheurs ont trouvé les premières vulnérabilités le 18 octobre. Ils ont partagé leurs découvertes avec SEGA Europe, qui a corrigé les dernières vulnérabilités fin octobre.